Thomas W. Harich. IT-Sicherheit im Unternehmen

Transkript

1 Thomas W. Harich IT-Sicherheit im Unternehmen

2 Vorwort von Dr. Markus Morawietz n Vorwort 15 1 Einfuhrung in die IT-Sicherheit IT-Sicherheit und wie man sie erreicht Wichtige Begriffe Normenreihe ISO 2700X und Dokumente des BSI Information-Security-Management-System IT-Sicherheitsorganisation Unternehmenswerte Dateneigentümer und Risikoeigentümer Asset-Management Schutzbedarf, Schutzziele, Schutzstufen und die Klassifizierung Risiko, Risikoberechnung, Risikobehandlung und Maßnahmen Angriffspfad, Schwachstellen und Bedrohungen Richtlinien IT-Sicherheitskonzept Das Hamsterrad 1.4 Die allzu menschlichen Fallstricke 1.5 Motivation, die IT-Sicherheit zu erhöhen Externe Vorgaben Verpflichtung zur Datensicherheit Haftung auf verschiedenen Ebenen Reduzierung des Risikos Angriffe durch eigene Mitarbeiter Angriffe von außen 51 5

3 2 Das IT-Sicherheitsprojekt Kurz zusammengefasst Rahmenbedingungen und Erfahrungen Das Wesen eines Projekts IT-Sicherheit als Top-down-Ansatz Die kontinuierliche Verbesserung 59 Die Ziele des IT-Sicherheitsprojekts I Aufgabe: Der Geltungsbereich Aufgabe: Sicherheitsniveau als Projektziel Der Projektablauf I Das Vorgehen im Überblick Aufgaben, Input und Output Transparenz schaffen 7i Regeln einführen Durchführung von Audits 78 3 Transparenz schaffen 81 3-i Übersicht über die Vorgehensweise Die Basisdokumente der IT-Sicherheit Aufgabe: Information Security Policy Aufgabe: Klassifizierungsrichtlinie Der Workshop und die Erfassung des aktuellen Status Zielsetzung und Ablauf Eine kleine Business-Impact-Analyse (BIA) Themengebiete der IT-Sicherheit Zugrunde liegende Standards Aufgabe: Themengebiete der IT-Sicherheit auswählen Regeln einfuhren Richtlinien als formalisierte Regeln Struktur und Inhalt von Richtlinien 110 6

4 4.1.2 Richtlinien im Kontext Aufgabe: Prozessbeschreibung Erstellung und Pflege von Richtlinien Der Richtlinienbaukasten Regeln und die Klassifizierung Richtlinien umsetzen Umsetzung von Regeln Von der Richtlinie zur Guideline Anspruch und Wirklichkeit Eine fiktive IT-Umgebung Hilfestellungen durch genormte Vorgehensweisen Die Richtlinien/Aufgaben des Projekts Aufgabe: Checklisten IT-Sicherheitsrichtlinien und IT-Sicherheitsprozesse Aufgabe: Kommunikation von IT-Sicherheitsthemen Die sechs Grundsatzthemen Aufgabe: Standardisierung von IT-Systemen und Software Aufgabe: Schutz vor Schadsoftware (Antivirus) Aufgabe: Patchmanagement Zugang zum Unternehmensnetzwerk Aufgabe: Dateiberechtigungen auf Servern analysieren Aufgabe: Grundregeln Benutzerverzeichnisse Themengebiet IT-Sicherheitsprozesse Aufgabe: IT-Sicherheitsorganisation Aufgabe: Verwaltung der Unternehmenswerte (assets) Aufgabe: Prozess IT-Sicherheitsvorfälle melden Aufgabe: Prozess Schwachstellenanalyse Aufgabe: Prozess Notfallmanagement Aufgabe: Prozess Überwachung von (Sicherheits-) Protokollen (logfiles) Aufgabe: Microsoft-Windows-Ereignisse überwachen Aufgabe: Dateizugriffe auf Servern überwachen 182 7

5 4.5.9 Aufgabe: Prozess Änderungsmanagement (change management) Aufgabe: Prozess Backup und Wiederherstellung Themengebiet Benutzer Aufgabe: Benutzerverwaltung Aufgabe: Generelle Richtlinien für Benutzer Aufgabe: Richtlinien für Administratoren Aufgabe: Umgang mit Gerätschaften Aufgabe: Awareness-Maßnahmen Themengebiet Zugriff auf Daten Aufgabe: Rollenkonzept erstellen Aufgabe: Temporärer administrativer Zugriff Aufgabe: Regeln zur Vergabe von Berechtigungen Themengebiet Sichere Systeme Aufgabe: PCs und Laptops sicher konfigurieren Aufgabe: Sicherer Administrations-PC Aufgabe: Sichere Serversysteme Themengebiet Physische Sicherheit Aufgabe: Zutritt zum Unternehmen Aufgabe: Kritische Bereiche absichern Themengebiet Netzwerk Aufgabe: Datenübertragung und Verschlüsselung Aufgabe: Verbindungen zu anderen Unternehmen Aufgabe: Trennung von Netzwerken Aufgabe: Regeln zum Zugang zum internen Netzwerk Aufgabe: Skript- und Softwareentwicklung Audits durchführen i Das Audit und seine Komponenten Die Grundzüge Der Auditor Der Interview-Partner 227 8

6 Verbesserung Inhaltsverzeichnis Art des Audits Audit-Planung, Geltungsbereich, Abstimmung mit den Fachbereichen Fragenkatalog, Sammeln von Nachweisen Der Audit-Bericht Das Aufsichtsgremium Lessons learned 230 des Audit-Prozesses Der Fragenkatalog und das Sammeln von Nachweisen Aufbau eines Fragenkatalogs Auswahl der Fragen und deren Bewertung Erbringung von Nachweisen Auswertung der Antworten Übergabe der Abweichungen zur Abarbeitung Quellen für die Überprüfung von Regeln Dokumentation und das Asset-Management Auswertung von Protokolldateien Aktive Penetrationstests Ergebnisse aus dem CERT 245 Index 247 9